كشفت تقارير أمنية حديثة عن تعرّض مستخدمي أداة البرمجة «غوغل أنتي غرافيتي» «Antigravity» لهجمات إلكترونية واسعة، تستغل شعبية الأداة عبر مواقع مزيفة تقوم بتثبيت برمجيات تجسّس متطورة تسرق البيانات الحساسة في غضون دقائق.
وتعتمد الحملة على تضليل الضحايا من خلال نطاقات مشابهة للموقع الرسمي، مثل «google-antigravity.com»، حيث يتم توجيه المستخدمين لتنزيل ملف تثبيت يبدو طبيعياً تماماً، ويقوم بتشغيل البرنامج الأصلي فعلياً، لضمان عدم إثارة الشكوك، بينما تتم في الخلفية تنفيذ سكربت «PowerShell» ضار يبدأ عملية الاختراق.
ووفقاً لتحليل «Malwarebytes»، وهي شركة أمريكية متخصصة في الأمن السيبراني، يمرّ الهجوم بثلاث مراحل معقدة بمجرد التثبيت؛ تبدأ بتعطيل دفاعات «ويندوز ديفيندر»، وواجهة فحص البرمجيات الضارة (AMSI)، تليها مرحلة التخفي عبر إنشاء مهام مجدولة وهمية تشبه تحديثات «مايكروسوفت إيدج»، وصولاً إلى تحميل حمولة خبيثة تُنفذ مباشرة في ذاكرة الجهاز من دون ترك أثر ملموس في القرص الصلب. وتستهدف هذه الحمولة مجموعة واسعة من البيانات، تشمل كلمات المرور وملفات تعريف الارتباط (Cookies) الخاصة بالمتصفحات لاختطاف الجلسات، وتجاوز المصادقة الثنائية، وبيانات البطاقات الائتمانية، ومعلومات التعبئة التلقائية، وبيانات تطبيقات التواصل والعمل، مثل ديسكورد وتليغرام ومنصات «ستيم»، إضافة إلى محافظ العملات الرقمية، وبيانات «FTP».
وعلاوة على ذلك، تزود البرمجية المهاجمين بأدوات تجسس متقدمة، منها تسجيل ضغطات المفاتيح، واختطاف الحافظة (Clipboard) لاستبدال عناوين محافظ العملات المشفرة، وخاصية «سطح المكتب المخفي» التي تمنح المهاجم سيطرة كاملة على الجهاز بعيداً عن أعين المستخدم.
وفي حال تحميل الأداة من مصادر غير رسمية، يشدد خبراء الأمن على ضرورة اتخاذ إجراءات فورية، تشمل الفحص التقني للتحقق من وجود اتصالات مشبوهة وعنوان «IP: 89.124.96.27»، وتأمين الحسابات عبر تسجيل الخروج من كل الجلسات النشطة، وتغيير كلمات المرور، ومفاتيح الـ API فوراً، وحماية الأصول عبر نقل العملات الرقمية من جهاز آمن تماماً، ومراقبة الحسابات البنكية بدقة، مع اتخاذ إجراء جذري بإعادة تثبيت نظام التشغيل بالكامل لضمان إزالة البرمجية نهائياً، وإبلاغ فرق الدعم التقني في حال كان الجهاز يتبع جهة عمل. ويؤكد الباحثون أن هذه الحملة تأتي ضمن نمط متزايد من الهجمات التي تستغل سرعة انتشار أدوات الذكاء الاصطناعي الجديدة، داعين المستخدمين إلى الالتزام التام بالمصادر الرسمية «antigravity.google» عند التحميل.
